漏洞名称:GitLab 硬编码漏洞
组件名称:GitLab
影响范围:
14.7 ≤ GitLab CE/EE < 14.7.7
14.8 ≤ GitLab CE/EE < 14.8.5
14.9 ≤ GitLab CE/EE < 14.9.2
漏洞类型:硬编码
利用条件:
1、用户认证:不需要用户认证
2、前置条件:启用 OmniAuth 配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:容易,无需授权即可通过硬编码直接登陆接管账户。
<综合评定威胁等级>:严重,通过硬编码可直接登陆接管账户。
漏洞分析
1 组件介绍
GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。
2 漏洞描述
2022年4月7日,深信服安全团队监测到一则 GitLab 组件存在硬编码漏洞的信息,漏洞编号:CVE-2022-1162,漏洞威胁等级:严重。
该漏洞源于 GitLab 存在密码硬编码,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行硬编码密码登录攻击,最终登陆并接管账户。
影响范围
GitLab 是最流行的仓库管理系统项目之一。全球有数十万 GitLab 云托管服务器,可能受漏洞影响的资产广泛分布于世界各地,国内主要分布在浙江、广东、山东、北京、上海等省市。
目前受影响的 GitLab 版本:
14.7 ≤ GitLab CE/EE < 14.7.7
14.8 ≤ GitLab CE/EE < 14.8.5
14.9 ≤ GitLab CE/EE < 14.9.2
1 如何检测组件版本
打开 GitLab 对应的 Web 服务页面,在右上角找到 help, 点击选择栏中的"帮助", 即可看到版本信息。
2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。 链接如下:
https://packages.gitlab.com/gitlab/
3 临时修复建议
避免受影响的 GitLab 暴露在公网。
4 深信服解决方案
1.安全监测
支持对 GitLab 硬编码漏洞 CVE-2022-1162 的监测,可依据流量收集实时监控业务场景中的受影响资产情况,快速检查受影响范围,相关产品及服务如下:
【深信服安全感知管理平台SIP】预计2022年4月11日发布解决方案。
【深信服安全托管服务MSS】预计2022年4月11日发布解决方案。
2.安全防护
支持对 GitLab 硬编码漏洞 CVE-2022-1162 的防御,可阻断攻击者针对该事件的入侵行为,相关产品及服务如下:
【深信服下一代防火墙AF】预计2022年4月11日发布解决方案。
【深信服Web应用防火墙WAF】预计2022年4月11日发布解决方案。
【深信服安全托管服务MSS】预计2022年4月11日发布解决方案。
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2022-1162
时间轴
2022/4/7 深信服监测到 GitLab 硬编码漏洞信息。
2022/4/8 深信服千里目安全实验室发布漏洞通告,同时发布解决方案。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】GitLab 硬编码漏洞CVE-2022-1162
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论